如何使用wireshark捕捉到rtp/rtcp协议的数据包，要求在wireshark中出现这个包

Posted 2023-05-02

参考技术A RTP包一般都是承载数据的，一般你需要知道它的承载链路才能准确的捕获到；比如对应的控制信令是SIP信令的话，那么你要在SIP信令中找到媒体端口，这样过滤条件直接设置“port
端口号”就可以捕获这条媒体链路上的RTP包了；如果不知道承载链路的媒体端口号的话，那么你在用wireshark时，不要设置过滤条件，抓这块网卡上的所有数据包，然后过滤出RTP包，但是这种做法在数据量非常大的时候，会导致软件卡死，建议设置wireshark捕获包后直接存成文件，不要显示；

如何解码分析wireshark捕获的数据包

用wireshark只能捕获到程序安装所在计算机上的数据包，dns解析是一个涉及不同域名服务器的过程，你无法在本机上得知全部过程，但是能捕获到解析请求和最终的返回结果。
1、首先打开wireshak，开始捕捉。
2、打开浏览器，访问网站
大概的过程就这些，等网站被打开，你所描述的数据基本上都有了。
分析其中的数据，dns、tcp握手等都在其中。看协议类型即可。
ip地址、mac地址也在数据包中，wireshark默认不显示mac地址，你可以在column preferences中添加新栏目hardware src（des） address即可
下面是数据包的截图，前两个dns，后面是tcp握手，接下来就是http请求和数据了，访问的是新浪网站，浏览器为maxthon4。 参考技术A 运行wireshark软件，打开一个保存的数据包文件。

以第4360号http数据包为例，进行解析。双击该数据包，进入解码页面。

点击frame前面的“+”展开该项，这里面的基本信息是，帧序号（4360）和大小（739bytes），以及到达时间。

同理，进入Ethernet II（数据链路层）。此层所展示的，是发送方与接收方的Mac地址，即原Mac地址与目的Mac地址。

而到了internet protocol（网络层），则主要显示了原IP地址与目的IP地址，以及IP首部的大小等。

下面最后三个，主要是transmission control protocol（传输层）。这一层所揭示的基本信息，是通信双方所开的端口号。即原端口与目的端口。